Naja. OpenBSD pusht sein Image von Sicherheit schon ein bisschen stark imo. Aber trotzdem ist (wie allerdings bei Adamantix auch) z.B. alles mit diesem Stacküberlaufschutz und diesem "Read or Exec - Zeugs" etc. versehen. Von dem her siehts wohl schon gut aus im Vergleich zu anderen.
MfG Peschmä
Debian Sid User
ich denke auch das man nicht nur auf die offenen ports bei ner standard installation schauen darf, die sind ja doch eher einfach zuschliessen
wie schon von peschmae geschrieben ist halt auch stack-overflow schutz, nicht ausführbarkeit von bestimmten speicher-segmenten usw wichtig für ein wirklich sicheres system
moe
@comrad:
Ansonsten ist OpenBSD in der Standardinstallation am sichersten.
In der iX gibt es jetzt gerade einen kurzen aktuellen Artikel. Flawfinder fand bei Linux um die 6500 kritischen Stellen von bspw. Funktionsaufrufen, in OpenBSD um die 45. Daran soll man sich jetzt nicht aufgeilen, aber als Hinweis oder Richtlinie potentieller Gefahrenquellen kann man es sehr gut ansehen.
@peschmae:
Glaube ich kaum. Die haben schon etliche Features und regelmäßige Code Audits. Da sie extra außerhalb den USA entwickeln, gibt es auch diesbezüglich keine Beschränkungen. Und Sicherheit wird bei OpenBSD im Gegensatz zu vielen anderen Projekten (wie auch Linux) nicht über Performance gestellt. Sauberkeit des Codes und Schlankheit des Codes spielen auch eine Rolle, nicht unbedingt etwas, womit GNU protzen kann.
Die Leute sind schon sehr paranoid. (: Und es ist gut so, daß es solche Leute gibt, das färbt ein wenig auf andere Projekte ab, bzw. werden Features/Programme/Funktionen übernommen. Beispielsweise strlcpy in FreeBSD, unter Linux sperren sich die glibc-Leute wohl dagegen (verfolge das nicht). Oder pf, das wohl allen anderen Paketfiltern inklusive iptables deutlich überlegen ist.
Read or Exec - Zeugs
Ist es nicht Write anstatt Read (beim Ausführen muß man wohl auch lesen). Und ist nicht nicht XOR anstatt OR? Das ganze führt dann zu W^X. Das wäre so ein Feature, das wohl irgendwann mal von anderen übernommen wird.
Was glaubst du kaum?Original geschrieben von itaris
@peschmae:
Glaube ich kaum. Die haben schon etliche Features und regelmäßige Code Audits. ...
Dass das meine Meinung ist oder was?
Ja. Stimmt, du hast natürlich Recht. Ist mir eigentlich so direkt auch egal - mal abgesehen davon dass es zusätzliche Sicherheit bringt (aber nicht mir leider).Read or Exec - Zeugs
Ist es nicht Write anstatt Read (beim Ausführen muß man wohl auch lesen). Und ist nicht nicht XOR anstatt OR? Das ganze führt dann zu W^X. Das wäre so ein Feature, das wohl irgendwann mal von anderen übernommen wird.
Naja. Ist halt wie bei den Autos - wenn ich einen Ferrari F100 hätte wüsste ich auch wieviele Zylinder und Liter Hubraum der hat. So weiss ich halt nur dass es viel sein wird
Von den andern wird das wohl schon mal übernommen werden (Adamantix hat afaik schon) - für die "normalen" Distros dürfte es noch etwas dauern da sich mit dem entsprechenden GCC afaik noch nicht alle Software einfach so kompilieren lässt.
MfG Peschmä
Debian Sid User
dann müsstest du dir mal das Solaris Operating Environment (Solaris 9) angucken. Dort und auch schon vorher gab es die Möglichkeit, dass Solaris unsicheren Code auszuführen einfach verhindert. Es hat auch darauf geachtet, dass ein Programm in seinem Bereich bleibt, ähnlich wie eine Sandbox bei Java Applets.Original geschrieben von moedule
wie schon von peschmae geschrieben ist halt auch stack-overflow schutz, nicht ausführbarkeit von bestimmten speicher-segmenten usw wichtig für ein wirklich sicheres system
Leider kenne ich mich mit dem Thema nicht genügend aus, aber es ist vielleicht ein Anreiz für dich.
comrad
Jene, die ein fähiger Systemadministrator konfiguriert hat.Original geschrieben von Deehimself
Welches ist die sicherste Distribution?
AD!
1 L Randal wrote a book, a 2 L Llama for the look,
but the one we owe it all is the 3 L Larry Wall.
Confucius: He who play in root, eventually kill tree.
kenn mich damit auch nicht wirklich aus, hab halt einige vorträge drüber gehörtOriginal geschrieben von comrad
dann müsstest du dir mal das Solaris Operating Environment (Solaris 9) angucken. Dort und auch schon vorher gab es die Möglichkeit, dass Solaris unsicheren Code auszuführen einfach verhindert. Es hat auch darauf geachtet, dass ein Programm in seinem Bereich bleibt, ähnlich wie eine Sandbox bei Java Applets.
Leider kenne ich mich mit dem Thema nicht genügend aus, aber es ist vielleicht ein Anreiz für dich.
comrad
das konzept ist durchaus schon länger bekannt, ist nicht jetzt auch im kernel 2.6 sowas mit drin?? oder nur als patch, hab neulich sowas gelesen (oder besser überflogen)
EDIT: kann es sein, dass es sich bei dem sicheren solaris um thrusted solaris handelt? also nicht das standart solaris 9???
moe
Geändert von moedule (23.03.04 um 14:54 Uhr)
Berechtigungen
Zitieren
Lesezeichen